29 de agosto de 2016

Mozilla lança serviço gratuito que faz varredura de segurança em sites

Diego Macêdo
29 de agosto de 2016
Nenhum comentário
Observatory by Mozilla

Chamada de Observatory, ferramenta realiza buscas por um grande número de mecanismos de segurança.

Para ajudar os webmasters a protegerem melhor seus sites e usuários, a Mozilla criou um scanner on-line que pode verificar se os servidores web estão com as melhores configurações de segurança no local.

Chamada de Observatory, a ferramenta foi criada inicialmente para uso interno pela engenheira de segurança da Mozilla, April King, que então foi encorajada para ampliar e tornar o recurso disponível para o público geral. (mais…)

Trojan brasileiro usa boleto falso de operadora para atacar internautas

Diego Macêdo
29 de agosto de 2016
Nenhum comentário
Trojan Malware Hacker Bank

Os cibercriminosos brasileiros que estão sofisticando cada vez mais seus golpes para roubar dinheiro online contam, agora, com nova arma: o Windows PowerShell. Descoberto por analistas da Kaspersky Lab, um novo trojan bancário brasileiro está empregando essa tecnologia, que se trata de um recurso nativo utilizado por administradores e programadores para automatizar comandos de sistema, e está presente nas versões mais recentes do Windows (7 ao 10).

Sua utilização é bastante ampla em outras famílias de malware, como os ransomware, mas esta é a primeira vez que seu uso é visto em pragas de origem brasileira. O ataque foi distribuído por meio de campanha de e-mail malicioso disfarçado de fatura de operadora de telefonia móvel, com links de download para um arquivo malicioso. (mais…)

Cross-Site Scripting (XSS): Entendendo o conceito e seus tipos

Diego Macêdo
29 de agosto de 2016
Nenhum comentário
XSS - Cross Site Scripting

Talvez a vulnerabilidade de segurança de aplicações web mais comum e mais debatido é Cross-Site Scripting (XSS). Quando tais vulnerabilidades estão presentes, os atacantes podem injetar scripts maliciosos em um site inofensivo de forma que seja executado no navegador do usuário.

Ataques XSS são geralmente divididos em duas categorias: persistente (ou armazenado) e não-persistente (refletido). Ataques XSS persistente são armazenados no servidor e executado sempre que um usuário visita a página onde o script está armazenado. Fóruns de usuários, comentários e outros locais onde os usuários podem salvar entrada que serão exibidas para outros usuários são locais ideais para esses tipos de ataques. Ataques XSS não-persistentes não são armazenados no servidor, mas são criados através do envio de solicitações com o próprio ataque XSS. Os ataques ocorrem quando o input do usuário é incluído na resposta do servidor, por exemplo, em mensagens de erro ou resultados de pesquisa.

Ataques XSS não-persistentes dependem de um usuário enviar um pedido com o ataque XSS incluídos na solicitação, portanto, provavelmente haverá algum tipo de engenharia social para o ataque também. Na verdade, ter XSS pode realmente aumentar o sucesso de um ataque de engenharia social, porque você pode criar uma URL que faz parte de um site de verdade, o qual o usuário conhece e confia em usar, e o XSS será usado para, por exemplo, redirecionar o usuário para uma página maliciosa. Como os outros ataques discutidos nesta postagem, ataques XSS devem contar com uma falta de atenção no saneamento do input do usuário, o que nos permite criar e executar um script malicioso. (mais…)